Funkwächter

Tools zum Radio Frequency Monitoring

Steffen Tröscher - 19.12.2005

RF-Monitoring-Systeme überwachen den Luftraum, um Risiken in drahtlosen Netzen minimieren zu können. Drei solcher Werkzeuge mussten im Test ihre Fähigkeit beweisen, Eindringlinge entdecken zu können.

Die Nutzung von Wireless LANs ist heutzutage eine Selbstverständlichkeit – sei es in Hotels, in der Flughäfen-Lounge oder im Starbucks-Café um die Ecke. Ein WLAN-fähiger PDA oder Laptop macht den drahtlosen Internet-Zugriff schnell und bequem möglich. Auch innerhalb von Firmen werden WLANs zunehmend verwendet, um Arbeitsplatzrechner an das interne Firmennetz anzuschließen. Doch all diese Bequemlichkeit hat ihren Preis: Drahtlose Netze sind zumeist einfacher anzugreifen als traditionelle drahtgebundene Netze.

Im Gegensatz zu einem kontrollierbaren Kupferdraht spielt sich die Datenkommunikation von WLANs in einem unkontrollierbaren Luftraum ab. Mit entsprechenden Antennen und leistungsstarken WLAN-Karten können Angreifer diese Kommunikation selbst über eine größere Entfernung mitlesen oder manipulieren. Innerhalb von Firmen werden deshalb oftmals Authentisierungs- und Verschlüsselungsmechanismen, zum Beispiel VPNs, eingesetzt, um sicherzustellen, dass kein Fremder den Datenverkehr mitliest oder sich unerlaubt mit einem WLAN-Access-Point verbindet.

Gefahren aus dem unkontrollierten Luftraum

Diese traditionellen Maßnahmen schützen allerdings nicht vor neuartigen WLAN-Gefahren. Dazu gehören unerlaubt ans Firmennetz angeschlossene Access-Points, so genannte Rogue APs. Diese werden von Mitarbeitern am Arbeitsplatz installiert, um kabellos bequem arbeiten zu können. Zumeist sind diese Access-Points so unsicher konfiguriert, dass sich Hacker leicht mit ihnen verbinden können. Aber auch Fehlkonfigurationen oder versehentlich aktivierte WLAN-Funktionen bei WLAN-Clients machen die Clients zu einem einfachen Ziel für Angreifer. Dabei täuscht der Angreifer beispielsweise einen Access-Point vor, auf den sich ein WLAN-Client automatisch verbinden kann, oder der Angreifer verbindet sich direkt über eine so genannte Ad-hoc-Verbindung mit einem WLAN-Client.

RF-Monitoring hat zum Ziel, den Luftraum zu kontrollieren, um Risiken in drahtlosen Netzen minimieren zu können. Im zu überwachenden Umfeld installierte Sensoren leiten ihre gesammelten Informationen an einen zentralen Server weiter (siehe Abbildung auf der folgenden Seite). Dort vergleicht die RF-Monitoring-Software den momentanen Ist-Zustand des Luftraums mit einem Idealzustand, der über ein Regelwerk vorab definiert wurde. So lässt sich zum Beispiel feststellen, ob es im überwachten Bereich unbekannte drahtlose Geräte gibt, ungewollte Verbindungen zwischen bekannten und unbekannten WLAN-Clients beziehungsweise Access-Points bestehen oder ob auffälliger Datenverkehr mögliche Rückschlüsse auf Angriffe zulässt.

Erkennt das RF-Monitoring-System solche Gefahren, generiert es Alarme und leitet auf Wunsch Gegenmaßnahmen ein. Letztere können beispielsweise das gezielte Unterbinden von gefährlichen drahtlosen Verbindungen über den Luftraum, das Blockieren von unautorisierten Access-Points über das verdrahtete Netzwerk oder die Lokalisierung von drahtlosen Geräten durch Triangulation umfassen. Bei der Triangulation erfragt der zentrale Server von den Sensoren die Signalstärke, mit der sie ein unbekanntes drahtloses Gerät empfangen. Zeichnet man nun um jeden Sensor einen Abdeckungskreis, der diese Signalstärke repräsentiert, befindet sich das gesuchte Gerät dort, wo sich die Abdeckungskreise überschneiden (siehe Abbildung auf Seite 3 dieses Artikels).

Drei RF-Monitoring-Systeme standen zu Testzwecken zur Verfügung: Network Chemistry (RF Protect 3.1.7), AirMagnet (Enterprise 5.0) und AirDefense (Enterprise 6.0). Unter die Lupe genommen wurden unterschiedliche Aspekte wie die Architektur, die Definition von Regelwerken oder das Erkennen und Abwehren von Gefahren.

Preislich unterscheiden sich die Geräte deutlich: Eine RF-Protect-Lösung mit einem Server und fünf Sensoren kostet rund 4000 US-Dollar (~3300 Euro), bei AirMagnet mit einem Server und vier Sensoren etwa 9000 Dollar (~7500 Euro) und für AirDefense Enterprise sind für einen Server und vier Sensoren immerhin 15 000 Dollar (~12 500 Euro) fällig. Abweichungen ergeben sich eventuell durch verschiedene Einsatzszenarien und Volumenrabatte.